dpdk l3fwd实现ip acl规则下发

已于 2022-04-23 15:57:19 修改
阅读量2.7k 收藏 3
点赞数 1
分类专栏: 网络安全 文章标签: dpdk 云网络 计算机网络 网络优化
于 2021-12-01 09:42:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/realmardrid/article/details/121477388
版权

L3fwd在L2fwd的基础上增加网络层的根据IP地址进行路由查找的内容。

DPDK的典型应用l3fwd可以看出,在某个核上运行的程序从指定的队列上接收,往指定的队列上发送,可以达到很高的cache命中率,效率也就会高。

l2fwd例子中,代码中网卡没有配置多队列,所以性能上有些局限性。

而l3fwd的例子中,网卡配置了多队列。

这就是在网络转发调试过程中,很多场景下直接使用l2fwd进行转发测试,往往达不到最佳效果的根本原因。

l2fwd中,报文转发流程相对简单,仅仅改了mac就发包了,无需过多判断。

l3fwd中,需查询路由表,相对实现复杂些。

dpdk的acl算法。大致用法如下:

配置如下格式的过滤规则,编译成规则树,并提供search的接口

 * '@'<src_ipv4_addr>'/'<masklen> <space> \

 * <dst_ipv4_addr>'/'<masklen> <space> \

 * <src_port_low> <space> ":" <src_port_high> <space> \

 * <dst_port_low> <space> ":" <dst_port_high> <space> \

 * <proto>'/'<mask>

规则文件定义例子:

@2.2.2.2/32 1.1.1.1/32 0 : 65535 0 : 65535 0/0

@2.2.2.3/32 1.1.1.1/32 0 : 65535 0 : 65535 0/0

@2.2.2.4/32 1.1.1.1/32 0 : 65535 0 : 65535 0/0

@2.2.2.5/32 1.1.1.1/32 0 : 65535 0 : 65535 0/0

@2.2.2.6/32 1.1.1.1/32 0 : 65535 0 : 65535 0/0

@2.2.2.7/32 1.1.1.1/32 0 : 65535 0 : 65535 0/0

/* main processing loop */
static int
main_loop(__rte_unused void *dummy)
{
    struct rte_mbuf *pkts_burst[MAX_PKT_BURST];
    unsigned lcore_id;
    uint64_t prev_tsc, diff_tsc, cur_tsc;
    int i, nb_rx;
    uint16_t portid;
    uint8_t queueid;
    struct lcore_conf *qconf;
    int socketid;
    const uint64_t drain_tsc = (rte_get_tsc_hz() + US_PER_S - 1)
            / US_PER_S * BURST_TX_DRAIN_US;
    prev_tsc = 0;
    lcore_id = rte_lcore_id();
    qconf = &lcore_conf[lcore_id];
    socketid = rte_lcore_to_socket_id(lcore_id);
    if (qconf->n_rx_queue == 0) {
        RTE_LOG(INFO, L3FWD, "lcore %u has nothing to do\n", lcore_id);
        return 0;
    }
    RTE_LOG(INFO, L3FWD, "entering main loop on lcore %u\n", lcore_id);
    for (i = 0; i < qconf->n_rx_queue; i++) {
        portid = qconf->rx_queue_list[i].port_id;
        queueid = qconf->rx_queue_list[i].queue_id;
        RTE_LOG(INFO, L3FWD,
            " -- lcoreid=%u portid=%u rxqueueid=%hhu\n",
            lcore_id, portid, queueid);
    }
    while (1) {
        cur_tsc = rte_rdtsc();
        /*
         * TX burst queue drain
         */
        diff_tsc = cur_tsc - prev_tsc;
        if (unlikely(diff_tsc > drain_tsc)) {
            for (i = 0; i < qconf->n_tx_port; ++i) {
                portid = qconf->tx_port_id[i];
                rte_eth_tx_buffer_flush(portid,
                        qconf->tx_queue_id[portid],
                        qconf->tx_buffer[portid]);
            }
            prev_tsc = cur_tsc;
        }
        /*
         * Read packet from RX queues
         */
        for (i = 0; i < qconf->n_rx_queue; ++i) {
            portid = qconf->rx_queue_list[i].port_id;
            queueid = qconf->rx_queue_list[i].queue_id;
            nb_rx = rte_eth_rx_burst(portid, queueid,
                pkts_burst, MAX_PKT_BURST);
            if (nb_rx > 0) {
                struct acl_search_t acl_search;
                prepare_acl_parameter(pkts_burst, &acl_search,
                    nb_rx);
                if (acl_search.num_ipv4) {
                    rte_acl_classify(
                        acl_config.acx_ipv4[socketid],
                        acl_search.data_ipv4,
                        acl_search.res_ipv4,
                        acl_search.num_ipv4,
                        DEFAULT_MAX_CATEGORIES);
                    send_packets(acl_search.m_ipv4,
                        acl_search.res_ipv4,
                        acl_search.num_ipv4);
                }
                if (acl_search.num_ipv6) {
                    rte_acl_classify(
                        acl_config.acx_ipv6[socketid],
                        acl_search.data_ipv6,
                        acl_search.res_ipv6,
                        acl_search.num_ipv6,
                        DEFAULT_MAX_CATEGORIES);
                    send_packets(acl_search.m_ipv6,
                        acl_search.res_ipv6,
                        acl_search.num_ipv6);
                }
            }
        }
    }
}

int
main(int argc, char **argv)
{
    struct lcore_conf *qconf;
    struct rte_eth_dev_info dev_info;
    struct rte_eth_txconf *txconf;
    int ret;
    unsigned nb_ports;
    uint16_t queueid;
    unsigned lcore_id;
    uint32_t n_tx_queue, nb_lcores;
    uint16_t portid;
    uint8_t nb_rx_queue, queue, socketid;
    /* init EAL */
    ret = rte_eal_init(argc, argv);
    if (ret < 0)
        rte_exit(EXIT_FAILURE, "Invalid EAL parameters\n");
    argc -= ret;
    argv += ret;
    set_default_dest_mac();
    /* parse application arguments (after the EAL ones) */
    ret = parse_args(argc, argv);
    if (ret < 0)
        rte_exit(EXIT_FAILURE, "Invalid L3FWD parameters\n");
    if (check_lcore_params() < 0)
        rte_exit(EXIT_FAILURE, "check_lcore_params failed\n");
    ret = init_lcore_rx_queues();
    if (ret < 0)
        rte_exit(EXIT_FAILURE, "init_lcore_rx_queues failed\n");
    nb_ports = rte_eth_dev_count_avail();
    if (check_port_config() < 0)
        rte_exit(EXIT_FAILURE, "check_port_config failed\n");
    /* Add ACL rules and route entries, build trie */
    if (app_acl_init() < 0)
        rte_exit(EXIT_FAILURE, "app_acl_init failed\n");
    nb_lcores = rte_lcore_count();
    /* initialize all ports */
    RTE_ETH_FOREACH_DEV(portid) {
        struct rte_eth_conf local_port_conf = port_conf;
        /* skip ports that are not enabled */
        if ((enabled_port_mask & (1 << portid)) == 0) {
            printf("\nSkipping disabled port %d\n", portid);
            continue;
        }
        /* init port */
        printf("Initializing port %d ... ", portid);
        fflush(stdout);
        nb_rx_queue = get_port_n_rx_queues(portid);
        n_tx_queue = nb_lcores;
        if (n_tx_queue > MAX_TX_QUEUE_PER_PORT)
            n_tx_queue = MAX_TX_QUEUE_PER_PORT;
        printf("Creating queues: nb_rxq=%d nb_txq=%u... ",
            nb_rx_queue, (unsigned)n_tx_queue);
        ret = rte_eth_dev_info_get(portid, &dev_info);
        if (ret != 0)
            rte_exit(EXIT_FAILURE,
                "Error during getting device (port %u) info: %s\n",
                portid, strerror(-ret));
        ret = config_port_max_pkt_len(&local_port_conf, &dev_info);
        if (ret != 0)
            rte_exit(EXIT_FAILURE,
                "Invalid max packet length: %u (port %u)\n",
                max_pkt_len, portid);
        if (dev_info.tx_offload_capa & RTE_ETH_TX_OFFLOAD_MBUF_FAST_FREE)
            local_port_conf.txmode.offloads |=
                RTE_ETH_TX_OFFLOAD_MBUF_FAST_FREE;
        local_port_conf.rx_adv_conf.rss_conf.rss_hf &=
            dev_info.flow_type_rss_offloads;
        if (local_port_conf.rx_adv_conf.rss_conf.rss_hf !=
                port_conf.rx_adv_conf.rss_conf.rss_hf) {
            printf("Port %u modified RSS hash function based on hardware support,"
                "requested:%#"PRIx64" configured:%#"PRIx64"\n",
                portid,
                port_conf.rx_adv_conf.rss_conf.rss_hf,
                local_port_conf.rx_adv_conf.rss_conf.rss_hf);
        }
        ret = rte_eth_dev_configure(portid, nb_rx_queue,
                    (uint16_t)n_tx_queue, &local_port_conf);
        if (ret < 0)
            rte_exit(EXIT_FAILURE,
                "Cannot configure device: err=%d, port=%d\n",
                ret, portid);
        ret = rte_eth_dev_adjust_nb_rx_tx_desc(portid, &nb_rxd,
                               &nb_txd);
        if (ret < 0)
            rte_exit(EXIT_FAILURE,
                "rte_eth_dev_adjust_nb_rx_tx_desc: err=%d, port=%d\n",
                ret, portid);
        ret = rte_eth_macaddr_get(portid, &port_l2hdr[portid].src_addr);
        if (ret < 0)
            rte_exit(EXIT_FAILURE,
                "rte_eth_macaddr_get: err=%d, port=%d\n",
                ret, portid);
        print_ethaddr("Dst MAC:", &port_l2hdr[portid].dst_addr);
        print_ethaddr(", Src MAC:", &port_l2hdr[portid].src_addr);
        printf(", ");
        /* init memory */
        ret = init_mem(NB_MBUF);
        if (ret < 0)
            rte_exit(EXIT_FAILURE, "init_mem failed\n");
        for (lcore_id = 0; lcore_id < RTE_MAX_LCORE; lcore_id++) {
            if (rte_lcore_is_enabled(lcore_id) == 0)
                continue;
            /* Initialize TX buffers */
            qconf = &lcore_conf[lcore_id];
            qconf->tx_buffer[portid] = rte_zmalloc_socket("tx_buffer",
                    RTE_ETH_TX_BUFFER_SIZE(MAX_PKT_BURST), 0,
                    rte_eth_dev_socket_id(portid));
            if (qconf->tx_buffer[portid] == NULL)
                rte_exit(EXIT_FAILURE, "Can't allocate tx buffer for port %u\n",
                        (unsigned) portid);
            rte_eth_tx_buffer_init(qconf->tx_buffer[portid], MAX_PKT_BURST);
        }
        /* init one TX queue per couple (lcore,port) */
        queueid = 0;
        for (lcore_id = 0; lcore_id < RTE_MAX_LCORE; lcore_id++) {
            if (rte_lcore_is_enabled(lcore_id) == 0)
                continue;
            if (numa_on)
                socketid = (uint8_t)
                    rte_lcore_to_socket_id(lcore_id);
            else
                socketid = 0;
            printf("txq=%u,%d,%d ", lcore_id, queueid, socketid);
            fflush(stdout);
            ret = rte_eth_dev_info_get(portid, &dev_info);
            if (ret != 0)
                rte_exit(EXIT_FAILURE,
                    "Error during getting device (port %u) info: %s\n",
                    portid, strerror(-ret));
            txconf = &dev_info.default_txconf;
            txconf->offloads = local_port_conf.txmode.offloads;
            ret = rte_eth_tx_queue_setup(portid, queueid, nb_txd,
                             socketid, txconf);
            if (ret < 0)
                rte_exit(EXIT_FAILURE,
                    "rte_eth_tx_queue_setup: err=%d, "
                    "port=%d\n", ret, portid);
            qconf = &lcore_conf[lcore_id];
            qconf->tx_queue_id[portid] = queueid;
            queueid++;
            qconf->tx_port_id[qconf->n_tx_port] = portid;
            qconf->n_tx_port++;
        }
        printf("\n");
    }
    for (lcore_id = 0; lcore_id < RTE_MAX_LCORE; lcore_id++) {
        if (rte_lcore_is_enabled(lcore_id) == 0)
            continue;
        qconf = &lcore_conf[lcore_id];
        printf("\nInitializing rx queues on lcore %u ... ", lcore_id);
        fflush(stdout);
        /* init RX queues */
        for (queue = 0; queue < qconf->n_rx_queue; ++queue) {
            struct rte_eth_rxconf rxq_conf;
            portid = qconf->rx_queue_list[queue].port_id;
            queueid = qconf->rx_queue_list[queue].queue_id;
            if (numa_on)
                socketid = (uint8_t)
                    rte_lcore_to_socket_id(lcore_id);
            else
                socketid = 0;
            printf("rxq=%d,%d,%d ", portid, queueid, socketid);
            fflush(stdout);
            ret = rte_eth_dev_info_get(portid, &dev_info);
            if (ret != 0)
                rte_exit(EXIT_FAILURE,
                    "Error during getting device (port %u) info: %s\n",
                    portid, strerror(-ret));
            rxq_conf = dev_info.default_rxconf;
            rxq_conf.offloads = port_conf.rxmode.offloads;
            ret = rte_eth_rx_queue_setup(portid, queueid, nb_rxd,
                    socketid, &rxq_conf,
                    pktmbuf_pool[socketid]);
            if (ret < 0)
                rte_exit(EXIT_FAILURE,
                    "rte_eth_rx_queue_setup: err=%d,"
                    "port=%d\n", ret, portid);
        }
    }
    printf("\n");
    /* start ports */
    RTE_ETH_FOREACH_DEV(portid) {
        if ((enabled_port_mask & (1 << portid)) == 0)
            continue;
        /* Start device */
        ret = rte_eth_dev_start(portid);
        if (ret < 0)
            rte_exit(EXIT_FAILURE,
                "rte_eth_dev_start: err=%d, port=%d\n",
                ret, portid);
        /*
         * If enabled, put device in promiscuous mode.
         * This allows IO forwarding mode to forward packets
         * to itself through 2 cross-connected  ports of the
         * target machine.
         */
        if (promiscuous_on) {
            ret = rte_eth_promiscuous_enable(portid);
            if (ret != 0)
                rte_exit(EXIT_FAILURE,
                    "rte_eth_promiscuous_enable: err=%s, port=%u\n",
                    rte_strerror(-ret), portid);
        }
    }
    check_all_ports_link_status(enabled_port_mask);
    /* launch per-lcore init on every lcore */
    rte_eal_mp_remote_launch(main_loop, NULL, CALL_MAIN);
    RTE_LCORE_FOREACH_WORKER(lcore_id) {
        if (rte_eal_wait_lcore(lcore_id) < 0)
            return -1;
    }
    /* clean up the EAL */
    rte_eal_cleanup();
    return 0;
}



DPDK: lib/acl/rte_acl.h File Reference

securitysun
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 9
    评论
专栏目录
DPDK — L3 Forwarding 与 ACL 访问控制
烟云的计算
04-10 996
ACL(Access Control List,访问控制列表)的本质是一种通配符匹配算法。而 ACL Rule 是一个 N-tuple,由 N 个 Fields 组成,在定义具体的 ACL Rule 之前,首先需要定义好每个 Fields 的实例。ACL Rule 的 Fields 的定义通过 rte_acl.h rte_acl_field_def 结构体来完成。
dpdk-l3fwd.tar.gz
12-30
对应dpdk-20.11.3版本
DPDK常用API合集一
最新发布
Phoenix_zxk的博客
02-20 860
librte_malloc、librte_ring、librte_mempool
dpdk l2fwd 示例代码改造支持arp 响应,支持ping 包
04-14
dpdk l2fwd 示例代码改造支持arp 响应,支持ping 包
DPDK IP分片与重组设计实现.pdf
06-24
This document provides software architecture information, development environment information and optimization guidelines.For programming examples and for instructions on compiling and running each sample application, see the Intel® DPDK Sample Application’s User Guide for details. For general information on compiling and running applications, see the Intel® DPDK Getting Started Guide.
DPDK_SURICATA-4_1_1:用于软件加速的dpdk基础结构。 目前正在研究RX和ACL预过滤器
05-06
DPDK_SURICATA-4_1_4 从3.0移植ACL-保留creating patch request for dev branch of Suricata 6.0 动机 创建简单的DPDK RX-TX,以允许数据包进入SURICATA处理流水线模式。 要做的事 将数据包缓冲区展平为完全零复制模式。 使用零拷贝PKT解码和其他层 工作正在进行中 使用https://github.com/vipinpv85/DPDK-Suricata_3.0 SW ACL对方向规则进行分类。 事情完成了 来自数据包获取阶段的数据包的零副本 添加了4种tx_buffer_flush模式-0:无,1:4、2:8、3:16 对重组后的数据包实施SW或HW对称散列。 将dpdk配置移到suricata.yaml 允许多名工人,而不是单名工人 允许带有RSS的多个RX队列(默认) 将dpd
DPDK ACL算法介绍(一)
lingshengxiyou的博客
08-29 1390
RTE_ACL_FIELD_TYPE_BITMASK:单字节区域如ip头部一个字节的proto字段;RTE_ACL_FIELD_TYPE_MASK:采用MASK方式描述,一般对应4字节的源/目的地址;RTE_ACL_FIELD_TYPE_RANGE:一般对应TCP或UDP头部2字节的PORT区域。熟悉这三种类型的使用后,完全可以用它们去匹配网络报文的其它区域,甚至将其应用到其它场景中。...
dpdk-l3fwd 快速使用
choumin的专栏
10-21 5234
快速记录一下dpdk-l3fwd 的使用过程。 dpdk-l3fwddpdk 中的 3 层转发示例程序,可以用来测试系统的转发性能。在转发测试中,我们需要用到两台机器,一台用来发包,一台用来转发。 前置工作: 在发包的机器上安装 dpdkdpdk-pktgen 在转发的机器上安装 dpdk 上述准备工作可以参看 dpdk-20.11 的编译和安装和dpdk-pktgen 的安装和基本使用。 编译 l3...
DPDK ACL链表
redwingz的博客
05-29 3610
本文简介DPDKACL链表的几个主要函数,以及数据结构。 ACL初始化 函数rte_acl_init如下,主要初始化工作是选择使用的分类算法。对于AVX2(Advanced Vector Extensions),仅当编译DPDK代码的编译器支持AVX2指令集,并且运行DPDK程序的处理器支持AVX2指令集时,才启用RTE_ACL_CLASSIFY_AVX2算法。否则,退而求其次...
DPDKACL(Access Control List)的学习(基于5元组增加MAC)
linuxGc的博客
07-31 3580
DPDK ACL源网页 ACL原理: DPDK中的ACL(Access Control List)模块提供了数据包分类功能,Packet Classification and Access Control中所述: The DPDK provides an Access Control library that gives the ability to classify an input packet based on a set of classification rules. The ACL librar
DPDKdpdk样例源码解析之三:dpdk-l3fwd_001
LFTF的博客
07-06 3481
dpdk-l3fwd示例源码介绍
dpdk17版本下的l2fwd支持目的mac地址手动修改
12-18
# export RTE_SDK=/root/dpdk-stable-17.11.1 # export RTE_TARGET=build # make CC main.o LD l2fwd INSTALL-APP l2fwd INSTALL-MAP l2fwd.map 适配dpdk-17.11.1,命令通过新增-d指定端口的dmac。 ./build/l2...
dpdk18版本下l2fwd自定义修改目的mac地址
12-18
然后放入l2fwd文件夹中。 编译如下: # export RTE_SDK=/root/dpdk # export RTE_TARGET=build # make CC main.o LD l2fwd INSTALL-APP l2fwd INSTALL-MAP l2fwd.map 适配dpdk-17.11.1,命令通过新增-d指定...
l3fwd 是什么_服务器DPDK l3fwd性能测试
weixin_33240360的博客
02-17 711
1.测试背景由于项目中需要用到dpdk,当时在服务器平台选型上有如下2种不同配置可供选择,为了理解老的Xeon处理器和Xeon金牌处理器对DPDK转发性能的影响,需要在两台服务器上分别进行DPDK l3fwd性能转发测试。服务器名称主要配置Server01Processor:Xeon E5-2680V4 (28 cores,2.4GHz) * 2Memory:128GB over 8Channel...
DPDK-实战之l3fwd-vf(虚拟化环境)
3-Number
10-19 6611
0x01 缘由      年初,学习了l3fwd的例子,进行三层转发,现在学习下特定转发,这个在虚拟化设备中常见,也是加强对dpdk的熟悉。 0x02 介绍      在虚拟化环境下的L3层转发应用是用DPDK处理数据包的一个简单例子。这个L3层转发应用充分发挥SR-IOV的特征。      这个应用演示如何使用hash和LPM DPDK库去实现数据包转发。这个转发策略是基于输入包的信息。
DPDP ACL 1 -- DPDK ACL算法介绍
~~ LINUX ~~
04-19 3603
DPDK提供了三种classify算法:最长匹配LPM、精确匹配(Exact Match)和通配符匹配(ACL)。 其中的ACL算法,本质是步长为8的Multi-Bit Trie,即每次可匹配一个字节。一般来说步长为n时,Trie中每个节点的出边为2^n,但DPDK在生成run-time structures时,采用DFA/QRANGE/SINGLE这几种不同的方式进行数据结构的压缩,有效去除了...
DPDK示例l3fwd性能测试
redwingz的博客
07-27 3204
测试环境 CPU: Intel® Xeon® Gold 5122 CPU @ 3.60GHz Cache: 16896 KB Memory: 16G X710 driver: i40e-2.11.29 X710 expansion-rom-version: 4.53 0x80001cdf 0.0.0 DPDK: dpdk-20.05 BIOS设置 CPU Power and Performance Policy CPU C-state Disabled
DPDK之l3fwd-power源码解析
fs3296的博客
05-17 964
app_mode运行模式,有五种运行模式:APP_MODE_LEGACY、APP_MODE_EMPTY_POLL、APP_MODE_TELEMETRY、APP_MODE_INTERRUPT、APP_MODE_PMD_MGMThp_lcores支持睿频的CPU核ID数组,数组长度为nb_hp_lcores;指向struct lcore_params数组,数组每项表示网卡号为port_id的接收队列号queue_id由核lcore_id处理lcore_conf。
DPDK rte_acl 学习踩坑及示例
王鲜申的博客
06-23 1379
最近开始需要用 DPDK ACL实现一些如包负载长度匹配的需求,因此开始学习 ACL 相关的内容,刚开始上手觉得还是挺难的,花了大概三四天看了官方的文档和一些示例,大概搞明白了 ACL 的用法,也踩了一些坑,这篇博客记录下这段时间的学习内容,最后提供了一个我写的小例子来参考。...
dpdk-l3fwd
08-30
dpdk-l3fwd正常运行时的打印信息如下: [root@LFTF dpdk-l3fwd]# ./build/l3fwd_app-static -l 1-3 -n 4 -- -p 0x3 --config="(0,0,1),(1,0,2)(0,1,3)" --parse-ptype 这条命令会启动dpdk-l3fwd程序,并指定了线程和核心的绑定关系(-l 1-3),以及使用的物理端口(-p 0x3)。命令的最后部分--config="(0,0,1),(1,0,2)(0,1,3)"定义了每个线程的处理器配置。最后,--parse-ptype参数表示应用程序将解析数据包类型。 在正常运行时,dpdk-l3fwd程序会输出一些打印信息,例如初始化信息、接收到的数据包信息、转发规则信息等。具体的打印信息会根据程序的运行情况而有所变化,但一般会包含与程序功能相关的信息。<span class="em">1</span><span class="em">2</span><span class="em">3</span>

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 9
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值